并购交易中的数据合规要点（下篇） ——“铁索连船，不能无问西东”

在互联网经济时代，数据的运营绝不会是孤立的，而是相互流动、相互协作的过程。而且，近年来数据合规事件此起彼伏，今年腾讯、抖音与多闪的“头腾大战”也预示着一场无硝烟的大数据战争正在全国乃至世界范围内铺开，在此大背景下企业之间加强协作，巧用“铁索连船”之计无疑能够在大数据战争洪流来临前多积蓄一份力量。但与之相应地，在“铁索连船”般的协作模式之下企业之间休戚与共，旦夕祸福很可能就在合作方的一念之间。

有鉴于此，并购交易方在考察标的企业的数据合规情况时，还需要审查标的企业是否已对该类数据合作做好必要的风控措施，不能无问东西。而本文以下将集中对网络产品和服务的供应商管理、数据跨境传输和数据融合的合规管控要点进行一一探讨。

一、供应商管理要点：“盟约早定”

《网络安全法》第三十六条规定“关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。”因此，如果标的企业属于关键信息基础设施的运营者的，在采购网络产品和服务时应当依法与供应商签订安全保密协议，明确双方的权利义务。即使标的企业不属于关键信息基础设施的运营者，与供应商及时签订安全保密协议也应当列为数据合规的重要措施。

对此，笔者在《并购交易中的数据合规要点（上篇）》中曾提及相关案例。在(2014)海民初字第15264号案中，服务器出租方因未能切实履行对出租服务器的日常维护和监控责任导致租用方的数据丢失的，需根据双方订立的服务合同承担损失赔偿责任。从该案中可见，如果服务器租赁方没有及时与出租方订立协议，或者协议约定并未完备的，很可能需要独自承担数据丢失的后果。而随着数据的重要性日益增加，一旦丢失或泄露，标的企业如果因为未能及时与供应商签订安全保密协议而需要独自承担严重后果的，该项并购交易面临的风险将难以估算。

有鉴于此，建议在并购交易中注意审查标的企业对网络产品和服务供应商的管理情况，包括是否与所有的供应商都签订了安全保密协议、协议是否完备等。对于重要的第三方服务商和供应商，还应当进行更为全面的尽职调查、跟踪监督和审计。

二、数据跨境传输要点：“与强者为伍”

近年来，数据跨境传输已成为较为普遍而常见的业务，例如用户在携程APP预订海外酒店时即发生了数据跨境传输。但因为境内外法律规范存在差异甚至是缺位，数据跨境传输难免给数据安全带来不确定性，一旦发生个人信息权益受侵害或重要数据泄露等安全事件时，管控风险和难度较高，需要慎重处理。为此，除了《网络安全法》第三十七条 明确提出规制要求外，2019年6月13日国家互联网信息办公室发布了《个人信息出境安全评估办法（征求意见稿）》。

参照《个人信息出境安全评估办法（征求意见稿）》的内容，在数据跨境传输问题上，网络运营者需要向省级网信部门申报个人信息出境安全评估并且按年度将个人信息出境情况、合同履行情况等报省级网信部门。通过这些评估要求，笔者发现网信部门极为关注和重视数据接收方的能力，其中包括：

 

• 履约能力：网络运营者与接收方签署的数据传输合同是否得到有效执行；

• 安全能力：数据接收方是否有能力保障个人信息安全，是否有采取保障个人信息安全和个人信息主体合法权益的措施；

• 过往信誉：数据接收方是否有损害个人信息主体合法权益的历史、是否发生过较大数据泄露、数据滥用等事件。

 

而且，参照《个人信息出境安全评估办法（征求意见稿）》的内容发现，如向境外第三方传输个人信息而接收方因不具有合乎要求的能力而对个人信息主体合法权益带来损害时，境内数据传输方很可能需要先行承担赔付责任 以及后续面临较高的追偿难度和成本。因此，如果发现标的企业有境外业务往来且当中涉及个人信息和重要数据传输的，除了审查是否签订合同以及申报安全评估等形式要件外，建议并购交易方一并审查境外数据接收方是否具有合乎要求的数据接收和处理能力，以有效管控数据合规的风险。

三、数据融合要点：“旗帜鲜明”

“数据融合是将来自多个传感器和信息源的数据信息加以联合、相关和组合，剔除冗余信息，获得互补信息，以便能够较精确地估计出节点的位置和在网络中的地位，以及对现场情况及其传送数据的重要性进行适时的完整的评价” 。随着数据资产的重要性日益增加，数据导向型的并购交易变得更为常见，而如何在该类并购交易中合规进行数据融合操作、以最大限度的发挥标的企业的数据价值，值得交易各方的关注。

根据《网络安全法》第四十二条的规定“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。”而鉴于数据融合实际上涉及到数据的转让和共享，因此笔者认为交易各方应尽早做好数据融合的筹划，其中包括交割前并购交易各方均应当“旗帜鲜明”地取得用户的知情和同意。

对于该数据融合的用户知情和同意权问题，美团摩拜的收购案探索出了创新性的解决方案。2019年1月，美团全资收购摩拜并将摩拜全面接入美团APP，实现了将摩拜的超短途出行市场数据与美团的生活场景数据融合，发挥业务协同效应。而在数据融合实施前，美团和摩拜通过弹窗发布“账号融合用户确认函”的方式，“旗帜鲜明”地告知用户将实现账号互通并获得用户同意。此外，有不少的网络运营者已在其隐私政策中为数据融合作出事先的铺垫和筹划。例如，《支付宝隐私保护政策》（2019年3月14日发布）中提到“我们不会将您的个人信息转让给任何公司、组织和个人，但以下情况除外：……（3）在涉及资产转让、收购、兼并、重组或破产清算时，如涉及到个人信息转让，我们会向您告知有关情况，并要求新的持有您个人信息的公司、组织继续受本政策的约束。如变更个人信息使用目的时，我们将要求该公司、组织重新取得您的同意。”

因此，在并购交易中如涉及数据资产转让、共享和整合的，建议并购交易方均应当做好数据融合筹划，其中包括并购交易各方可以事先更新隐私政策让用户知悉数据存在转让和共享的可能性以及交割前应当以确认函或其他方式“旗帜鲜明”地让用户知悉并购交易及其伴随的数据融合情况，给予用户选择同意或拒绝的权利，避免重蹈谷歌案 的覆辙。

结语：合规护航，道阻且长

企业间的数据合作纵横交错，网络产品和服务的供应、跨境数据传输和数据融合很可能交错或同步进行着，以上合规要点及措施实际上可以综合运用到所有的数据合作模式。而在这种“铁索连船”的关系下，建议企业应避免“无问东西”的数据合作，一要问安全保密协议的签订情况，二要问合作方的数据接收和处理能力，三要问用户的知情同意情况。

数据合规问题错综复杂，笔者通过三篇连载文章对并购交易中的数据合规要点进行梳理和阐述，认为并购交易方至少应当关注到数据合规的“雷区”，对标的企业的数据情况进行摸底并及时整饬企业内务，同时在纵横捭阖之间妥善处理好与合作方之间的数据合规关系，以趋利避害、为并购交易的顺利进行保驾护航。然，数据合规道阻且长，需且思且行。

笔者按：靖安思变，数据保护是否可以另辟蹊径？

近期，“长安十二时辰”风云变幻，作为最高情报机构的靖安司“数据库”也难逃被毁于一旦的劫难。可见，无论在何时何地，意外之事难免。数据无论被政府还是企业掌握都难免出错，基于对数据控制者的不信任，数据合规应运而生，力图通过要求数据控制者建立严密的数据合规体系，以提高数据的安全性，同时兼顾数据的公共效益性和个人利益的保障。因此，世界各地包括印度、泰国等国家都在紧锣密鼓地出台法规文件，数据合规之“网”越织越密。

而随着数据合规之“网”越织越密，数据合规的成本越来越高，却始终未能从根本上解决对数据控制者的不信任或弱信任，数据安全事件的发生概率会降低但仍难以避免。那么倘若数据运营能够实现“去中心化”，不再存在那个掌握着“数据千万条”的网络运营中心，这个问题是否就能够得到根本解决呢？而笔者留意到，近年来以“去中心化”为特征的区块链技术 已应运而生、日渐成熟并在不断探索其在数据保护方面的应用，值得持续关注。

 

注释：

[1] 《网络安全法》第三十七条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。

[2] 《个人信息出境安全评估办法（征求意见稿）》第十四条第三项“应请求向接收者转达个人信息主体诉求，包括向接收者索赔；个人信息主体不能从接收者获得赔偿时，先行赔付。”第十六条第（四）项“因向第三方传输个人信息对个人信息主体合法权益带来损害时，网络运营者同意先行承担赔付责任。”

[3] 彭力编著：《物联网技术概论 第2版》 第91页。

[4] 2019年1月21日，因违反欧盟《一般数据保护条例》（简称GDPR），法国数据监管机构CNIL对谷歌开具了五千万欧元的罚单。

[5] 《中国区块链技术和应用发展白皮书（2016）》中提到“区块链就是一种无须中介参与，亦能在互不信任或弱信任的参与者之间维系一套不可篡改的账本记录的技术”并且正在探索将区块链“去中心化”的特点应用于隐私保护。